Lebih dari 1.600 gambar Docker Hub yang tersedia untuk umum menyembunyikan perilaku berbahaya, termasuk penambang cryptocurrency, rahasia tersemat yang dapat digunakan sebagai pintu belakang, pembajak DNS, dan pengalih situs web.
Docker Hub adalah perpustakaan wadah berbasis cloud yang memungkinkan orang untuk mencari dan mengunduh gambar Docker dengan bebas atau mengunggah kreasi mereka ke perpustakaan umum atau repositori pribadi.
Gambar Docker adalah template untuk pembuatan kontainer yang cepat dan mudah yang berisi kode dan aplikasi siap pakai. Oleh karena itu, mereka yang ingin menyiapkan instans baru sering beralih ke Docker Hub untuk menemukan aplikasi yang mudah diterapkan dengan cepat.
Sayangnya, karena penyalahgunaan layanan oleh pelaku ancaman, lebih dari seribu unggahan berbahaya menghadirkan risiko besar bagi pengguna yang tidak menaruh curiga yang menyebarkan gambar sarat malware di wadah yang dihosting secara lokal atau berbasis cloud.
Banyak gambar jahat menggunakan nama yang menyamarkannya sebagai proyek populer dan tepercaya, sehingga pelaku ancaman mengunggahnya dengan jelas untuk mengelabui pengguna agar mengunduhnya.
Para peneliti di Sysdig menyelidiki masalah ini, mencoba mengevaluasi skala masalah, dan melaporkan gambar yang ditemukan yang menampilkan beberapa bentuk kode atau mekanisme berbahaya.
Perangkap Docker Hub
Terlepas dari gambar yang ditinjau oleh Proyek Perpustakaan Docker, yang diverifikasi dapat dipercaya, ratusan ribu gambar dengan status tidak diketahui ada di layanan.
Sysdig menggunakan pemindai otomatisnya untuk meneliti 250.000 gambar Linux yang belum diverifikasi dan mengidentifikasi 1.652 di antaranya sebagai berbahaya.
Kategori terbesar adalah penambang crypto, ditemukan di 608 gambar kontainer, menargetkan sumber daya server untuk menambang cryptocurrency untuk pelaku ancaman.
Kejadian paling umum kedua adalah gambar yang menyembunyikan rahasia yang disematkan, berukuran 281 kasus. Rahasia yang disematkan dalam gambar ini adalah kunci SSH, kredensial AWS, token GitHub, token NPM, dan lainnya.
Sysdig berkomentar bahwa rahasia ini mungkin dibiarkan pada gambar publik secara tidak sengaja atau sengaja disuntikkan oleh aktor ancaman yang membuat dan mengunggahnya.
“Dengan menyematkan kunci SSH atau kunci API ke dalam wadah, penyerang dapat memperoleh akses setelah wadah digunakan,” Sysdig memperingatkan di laporan.
“Misalnya, mengunggah kunci publik ke server jarak jauh memungkinkan pemilik kunci pribadi yang sesuai untuk membuka shell dan menjalankan perintah melalui SSH, serupa dengan menanamkan pintu belakang.”
Banyak gambar berbahaya yang ditemukan oleh Sysdig menggunakan kesalahan ketik untuk menyamar sebagai gambar yang sah dan tepercaya, hanya untuk menginfeksi pengguna dengan penambang kripto.
Taktik ini meletakkan dasar untuk beberapa kasus yang sangat sukses, seperti dua contoh yang ditunjukkan di bawah ini, yang telah diunduh hampir 17.000 kali.
Typosquatting juga memastikan bahwa pengguna yang salah mengetik nama proyek populer akan mengunduh gambar jahat, jadi meskipun ini tidak menghasilkan jumlah korban yang besar, ini tetap memastikan aliran infeksi yang stabil.
.png)
Masalah yang memburuk
Sysdig mengatakan bahwa pada tahun 2022, 61% dari semua gambar yang diambil dari Docker Hub berasal dari repositori publik, naik 15% dari statistik tahun 2021, sehingga risiko bagi pengguna meningkat.
Sayangnya, ukuran perpustakaan umum Docker Hub tidak memungkinkan operatornya memeriksa semua unggahan setiap hari; karenanya banyak gambar berbahaya tidak dilaporkan.
Sysdig juga memperhatikan bahwa sebagian besar pelaku ancaman hanya mengunggah beberapa gambar berbahaya, jadi meskipun gambar berisiko dihapus dan pengunggahnya dilarang, hal itu tidak berdampak signifikan pada lanskap ancaman platform.
